iptables问题小记

ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.

修改如下参数:

net.ipv4.netfilter.ip_conntrack_max = 120000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300

 

查看iptables跟踪的各个连接数
cat /proc/net/ip_conntrack|awk ‘/^tcp/ {++s[$4]}END{for(a in s)print a,s[a]}’
查看iptables表使用情况
cat /proc/slabinfo|grep conn

 

在有条件的情况下,还是上硬件防火墙吧。开着iptables会影响性能